Исследователи из китайской компании Qihoo 360 обнаружили серверный ботнет, операторы которого пытаются продлить срок жизни C&C с помощью легитимного сервиса ngrok.com. В настоящее время новая зомби-сеть используется для скрытной добычи криптовалюты.

Прокси-сервис ngrok.com позволяет организовать защищенный внешний доступ (на основе туннелей) к локальным серверам, расположенным за NAT или сетевым экраном. По словам репортера ZDNet, эта веб-служба очень популярна в корпоративном сегменте, так как она обеспечивает быстрый и безопасный способ подключения удаленных работников к интранет-сети. Ngrok также используют разработчики-фрилансеры в тех случаях, когда клиент хочет ознакомиться со статусом заказанного приложения.

Чтобы вывести локальный сервер по туннелю на реальный URL, пользователь регистрируется на ngrok.com и скачивает клиентскую программу. Получив публичный URL, он сообщает его лицу, которому нужно предоставить доступ к охраняемым данным.

Имена поддоменов ngrok.io генерируются произвольно и существуют онлайн недолго — около 12 часов, а затем сменяются, поэтому ботоводы и решили воспользоваться услугами ngrok.com. Их конкуренты обычно размещают командные серверы у хостинг-провайдера, где многочисленные жалобы на злоупотребления могут спровоцировать расследование, обнаружение и блокировку.

В остальном новоявленный ботнет вполне обычен. Лежащий в его основе зловред состоит из четырех компонентов:

  • Scanner (ищет в Интернете приложения, пригодные для эксплойта);
  • Reporter (передает результаты сканирования на C&C-сервер);
  • Loader (загружает сканер и майнер);
  • Miner, отвечающий за добычу криптовалюты.

Сканирование с целью выявления уязвимостей выполняется в два приема: вначале бот проверяет активность портов, а затем выискивает нужные приложения. В настоящее время новый ботнет нацелен на порты 6379, 2375, 80, 8080 и 5984, а также службы redis, docker, jenkins, drupal, modx и couchdb. Анализ выявил еще один инструмент, загружаемый сканером с C&C, но пока не используемый. Он предназначен для поиска локальных клиентов Ethereum — очевидно, с целью кражи эфиров.

Модуль Miner загружает на сервер свой демон и nginx-майнер Monero, предварительно завершая конкурирующие процессы (если таковые имеются). Он также способен внедрять браузерный майнер Coinhive во все js-файлы текущей директории. По словам исследователей, это, скорее всего, ошибка проекта, так как текущая директория — это собственная рабочая папка Miner, в которой нет JavaScript-файлов.

Успехи операторов нового ботнета пока невелики: с июня они намайнили меньше 70 XMR, что эквивалентно $7,8 тыс.

Категории: Аналитика, Вредоносные программы, Уязвимости